Назад | Перейти на главную страницу

Борьба с наводнением в сети

мой сайт иногда атакуют люди. Вы можете увидеть такую ​​атаку в 18:00, а затем более крупную атаку в 22:30. Обычно сетевая карта сервера переполняется входящими запросами.

Мои машины - это выделенный четырехъядерный процессор, 12 ГБ ddr3, 4x SAS 15k RPM дисков в RAID10 с CentOS5.6 64bit.

На этом сервере я запускаю Nginx в качестве своего веб-сервера. Во время атаки я не могу получить доступ к своему сайту, потому что вся сеть кажется затопленной. Как только он остановится, все вернется в норму, без необходимости что-либо перезапускать.

Я немного укрепил свой SYSCTL, см. Настройки здесь: http://pastebin.com/eFfAcWkr Моя конфигурация IPTABLES, на самом деле довольно простая. Нужно только открыть порт 80, 443, 21 и мой порт SSH: http://pastebin.com/MsHSka08

У меня вопрос: Что я могу сделать для отражения таких атак? Кроме того, могу ли я узнать, что это была за атака? *

Зеленая линия - входящие данные, синяя - исходящие.

Добро пожаловать в чудесный мир (распределенного) отказа в обслуживании или DDoS. Краткий ответ: поговорите со своим интернет-провайдером и попросите его помочь вам отфильтровать DoS. Более длинный ответ:

Поскольку похоже, что ваша сеть становится насыщенной, вы не так много можете сделать со своей сетью или системами для защиты от этих атак - их цель - завалить вас таким большим объемом трафика, что ваша полоса пропускания нисходящего потока забита мусором. Чтобы исправить это, вам нужно привлечь своего интернет-провайдера. Если вам повезет, атаки представляют собой простые DoS-атаки с идентифицируемым, не подделанным адресом источника. Ваш интернет-провайдер может довольно легко применить к ним фильтры. Если вам не повезло, в атаках используются поддельные адреса источников и / или они распространяются среди ботнета, что значительно затрудняет фильтрацию (поскольку существует большое количество источников). Возможно, ваш интернет-провайдер может еще кое-что сделать, но они становятся немного сложнее. Чтобы по-настоящему защитить себя, вам нужно обратить внимание на службы защиты от DDoS-атак, подобные тем, которые предлагают Arbor Networks, VeriSign и т. Д. К сожалению, они, как правило, довольно дороги. Другой вариант может заключаться в развертывании в сети распространения контента, такой как Akamai (на дорогом конце) или Cloudflare (на бесплатном конце, хотя Cloudflare не является полноценным CDN).

Что касается определения того, что это за атака, вы, вероятно, сможете получить представление о самом трафике. Запустите tcpdump или аналогичный и посмотрите, какие пакеты вы получаете. Это может быть что угодно, от ICMP (например, ping-лавинная рассылка) до UDP (например, атака с усилением DNS) и TCP (син-лавинная рассылка). Однако, исходя из трафика, я бы сделал ставку на простую атаку флуда без сохранения состояния (например, ICMP или UDP). На самом деле это удачно, поскольку с атакой более высокого уровня, например, группой зомби из ботнета, наводняющего HTTP-запросы на порт 80 или 443, гораздо сложнее справиться.

Вы можете добавить набор правил для подсчета входящих запросов с одного IP-адреса, а затем действовать, если они превышают порог, сбросить свой IP-адрес на несколько минут.